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Lampi di Cassandra/ L’hacker contento ed il DPO stizzito 


(504)— Una correttissima iniziativa hacker si rivolge in maniera virtuosa alla 
Pubblica Amministrazione; certamente nessuno vorrà svilirla o minimizzarla. 


16 maggio 2022—Ci sono delle volte che anche le profetesse come Cassandra 
vengono colte di sorpresa. 


E’ infatti accaduto proprio oggi che, leggendo un articolo impeccabilmente re- 
datto, e dati gli autori non poteva essere che così (la “scena” italiana è incred- 
ibilmente piccola), Cassandra rimanesse stupefatta del contenuto, e passasse 
immediatamente a confezionare questo suo “Lampo”. 


Cassandra infatti, che dopo il suo lavoro di profetessa ama indossare i giorni 
pari i panni del vecchio hacker ed i dispari quelli di attivista dei diritti civili, 
conosce personalmente e stima molto tutti, ma davvero tutti, i protagonisti di 
questa piccola vicenda. 


Perciò, pur sorpresa, anzi in un certo senso costernata, cercherà di raccontare la 
cosa con il massimo equilibrio, senza fare però sconti a nessuno, per magari essere 
costruttivamente utile ad un riavvicinamento delle posizioni dei protagonisti. 


Riassumiamo all’estremo la questione. 


Tutti i siti che frequentiamo, più sono utili e più ne sono ammorbati, contengono 
“traccianti” di vario tipo, che comunicano a varie aziende ed organizzazioni i dati 
di navigazione, del computer, e talvolta financo dei movimenti del mouse. 


Dati che sono in generale, a meno di difficile dimostrazione contraria, dati “per- 
sonali”. 


Tra questi traccianti si distingue, per diffusione ed invasività, Google Analyt- 
ics, che viene usato da quasi tutti gli amministratori dei siti per analizzare il 
comportamento degli utenti (e fin qui ci potrebbe stare) ma essendo gestito da 
Google fornisce gli stessi dati anche ad una azienda che della manipolazione 
e rivendita dei dati fa il suo business principale, in maniera (ahimè) legale, e 
nell’indifferenza totale (ahimè, ahimè) della grandissima parte degli utenti. 


Ci starebbe anche, perché in cambio gli utenti che lo desiderano ricevono servizi 
gratuiti, e quindi il do-ut-des esiste. Si tratta però di vedere se è anche legale. 


Già, perché da quando esiste il GDPR, e sono state emesse un paio di sentenze 


(troppo lunghe da spiegare) in ambito UE, mandare dei dati personali in giro, 
particolarmente fuori dal’ UE, particolarmente negli Stati Uniti, è diventato 
contrario ai principi fondanti del GDPR, quindi illegale salvo prova contraria. 


E se può essere accettato, magari solo per un periodo, che i siti commerciali 
non si adeguino, anche perché dietro si gioca una montagna di miliardi, i siti 
della pubblica amministrazione, che non devono fare profitti e devono stare 
attentissimi a rispettare la legge ed i diritti dei cittadini, certamente non devono 
usare Google Analytics. 


Le cose non vanno purtroppo in questa direzione; per una serie di noiose 
questioni tecniche, che esulano completamente dagli intenti di questo articolo, 
moltissimi siti della pubblica amministrazione usano lo stesso Google Analytics, 
spesso per semplice trascuratezza. 


Non è nemmeno tutta colpa loro, anche Google ci mette molto del suo per 
farlo succedere, e d’altra parte, non a caso ha smesso da tempo di utilizzare 
l’antico motto “Dont be evil”. 


E’ accaduto quindi che alcuni hacker, decisamente competenti, decisamente etici, 
e decisamente identificabili, si sono accorti che la pubblica amministrazione ha 
molto virtuosamente preparato un oggetto, che consente di fare le stesse cose 
di Google Analytics senza mandare in giro i dati degli utenti, e lo ha reso 
disponibile in maniera totalmente gratuita. 


Si sono anche accorti che sempre la pubblica amministrazione ha messo a dis- 
posizione di tutti molti dati di interesse pubblico, compreso l’elenco dei circa 
24.000 siti ufficiali delle pubbliche amministrazioni. 


E’ scattata immediatamente una molla, che Cassandra capisce nel profondo; 
perché non scrivere un software che scorresse uno ad uno i siti dell’elenco, con- 
trollasse se usano Google Analytics, in caso positivo prelevasse l’indirizzo di 
email del protocollo informatico, e facesse pervenire al DPO od al legale rapp- 
resentante della pubblica amministrazione una cortese ma decisa segnalazione 
PEC che molto virtuosamente evidenzia il potenziale problema? 


E perché non preannunciare che l’anno prossimo, a malincuore ed utilizzando 
lo stesso metodo, verranno rilevati i siti che non si sono adeguati, e che verrà 
inviata una ulteriore PEC, questa volta di segnalazione al Garante della Privacy, 
perché valuti, come suo dovere, se sia necessario prendere provvedimenti? 


E perché non realizzare questo in completa trasparenza, con software FOSS, qui 
pubblicato in rete ed a disposizione di tutti? 


Detto fatto, il gruppo ha scelto un nome, realizzato un suo sito e via! 


Allora, data tutta questa virtuosità ben sottolineata, perché l’articolo di cui so- 
pra, pur privo di errori e pieno di osservazioni interessanti e competenti, trasuda 
fastidio quasi da ogni frase, e fa il possibile per non raccontare l’iniziativa, 
non citare gli autori, metterne in dubbio la competenza e pretendere di non 
conoscere le due notissime associazioni legalmente riconosciute che supportano 


l’iniziativa? 
Si tratta di informazioni che tutti gli “addetti ai lavori” della scena italiana 
conoscono, e che qualsiasi curioso può comunque individuare con due click. 


Avrebbe potuto piuttosto segnalarla come iniziativa virtuosa, magari facendone 
notare dei difetti, meglio se realmente esistenti e non supposti e che certamente 
possono esistere, cogliendo lo spirito collaborativo dell’iniziativa e rispondendo 
così in modo totalmente costruttivo. 


Avrebbe potuto essere come quest’altro articolo. 


Magari addirittura senza neppure considerarle “diffide”, visto che in sostanza 
solo di “segnalazioni alle persone addette” si tratta. 


Questo, a parere di Cassandra, è necessario perché l’esercizio di un diritto, 
sancito in maniera adamantina dalla legge, non richiede necessariamente 
al cittadino la stessa autorevolezza del DPO o del professionista; il 
cittadino può anche sbagliare nella segnalazione, e la pubblica amminis- 
trazione deve semplicemente rispondergli spiegando dove sbaglia. 


Sarebbe persino ammissibile, ma non auspicabile, il silenzio. 


Non è invece auspicabile limitarsi ad esibire fastidio o ad una critica 
sterile al “metodo”. 


Ed è addirittura fuori luogo anche solo ipotizzare il “fumus” dell’illegalità. 


` 


Il metodo è a scelta del cittadino, visto che, fintanto che rispetta le leggi, 
non è tenuto al livello di competenza di un addetto ai lavori, e ad usare “metodi” 
più ufficiali o competenti di altri. 


Andreottianamente si potrebbe pensare che, poiché i siti che apparentemente 
hanno questo “problema” sono ben 8000, e quindi quasi tutte le pubbliche am- 
ministrazioni e quasi tuttii DPO d’Italia hanno ricevuto forse una, magari una 
diecina di queste PEC, qualcuno si sia sentito infastidito. 

Magari troppo tirato per la giacchetta. Non abbia magari inteso, solo questa 
volta, che di una richiesta di ordinario e dovuto intervento si trattava. Di un 
circolo virtuoso di collaborazione. 


Ma le cose non stanno certamente così, perché sia i dipendenti delle pub- 
bliche amministrazioni, in particolare i DPO, ma anche il Garante ed il difen- 
sore civico digitale, stanno lì e sono pagati anche per gestire queste segnalazioni, 
contribuendo a risolvere gli eventuali problemi esistenti, e ovviamente lo sanno 
benissimo. 


Ed allora non resta che concludere che sia tutto un involontario ma- 
linteso. 


Che forse una comunicazione destinata ad un ambito strettamente profession- 
ale tra DPO, non sia stata riletta nello spirito di un normale, ancorché molto 
digitale, cittadino, e sia poi stata pubblicata senza considerarne l’effetto su un 
pubblico più vasto. 


Se è così, dopo aver chiarito per quanto possibile la vicenda ed esposto il proprio 
pensiero (Cassandra inclusa), nessuno certamente si offenderà, tutti amici (o 
nemici) come prima, e la prossima vota tutti faranno ancora meglio. 


Questo è l’auspicio che, dopo aver raccontato questa peculiare vicenda a tutti, 
od almeno ai suoi 24 inossidabili lettori, Cassandra si sente di indirizzare 
ai protagonisti di questa vicenda. 


E se lo auspica Cassandra ... 


Scrivere a Cassandra—Twitter—Mastodon 
Videorubrica “Quattro chiacchiere con Cassandra” 

Lo Slog (Static Blog) di Cassandra 

L’archivio di Cassandra: scuola, formazione e pensiero 
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